Средствах авторизации и аутентификации в информационных системах

Электронно-цифровая подпись может использоваться в качестве средства аутентификации, если она помещена на аппаратные средства типа интеллектуальной карты. Карта представляет серверу подписанный ЭЦП идентификатор или PIN пользователя, сервер проверяет электронно-цифровую подпись и тем самым проводит аутентификацию пользователя. Такая аутентификация возможна в случае ограниченного количества пользователей, что позволяет хранить на сервере информацию об электронно-цифровых подписях всех пользователей. Если пользователей очень много, то подпись пользователя должна содержать сертификат в соответствии со стандартом Х.509. Для безопасного управления ключами в среде большого множества пользователей или систем необходима инфраструктура открытых ключей (PKI). PKI строится на базе Х.509 и определяет форматы данных и процедуры распределения общих ключей с помощью сертификатов с цифровыми подписями. Для технологии открытых ключей необходимо, чтобы пользователь открытого ключа был уверен, что этот ключ принадлежит именно тому субъекту, который использует средства шифрования или цифровую подпись. Такую уверенность дают сертификаты открытых ключей, которые используют цифровую подпись доверенного сертификационного центра. Сертификат имеет ограниченный срок действия, указанный в его содержании. Сертификаты могут распространяться по незащищенным каналам связи и храниться в памяти в незащищенном виде.

Для повышения безопасности на практике используют несколько факторов аутентификации сразу.

В основе самого надежного на сегодня метода многофакторной аутентификации лежит применение персональных аппаратных устройств - токенов. Аутентификация на базе токенов является высокотехнологичной и, главное, надежной альтернативой и парольным, и биометрическим методам, и кроме того она существенно превосходит их по простоте интеграции и дальнейшей эксплуатации. 

По сути, токен – это небольшой USB-карт-ридер с интегрированным чипом смарт-карты [8, с. 24]. Токены, реализованные на основе смарт-карт, позволяют генерировать и хранить ключи шифрования, обеспечивая тем самым строгую аутентификацию при доступе к компьютерам, данным и информационным системам.

В сочетании с криптографическим шифрованием системных дисков, защитой отдельных файлов и съемных носителей, а также аутентификацией до загрузки операционной системы, токены позволяют обеспечить необходимый уровень безопасности информационной системы для организаций любого масштаба со сколь угодно высоким уровнем требований к системе информационной безопасности и защиты данных.

ЗАКЛЮЧЕНИЕ

Таким образом, в данной работе был рассмотрен вопрос о средствах аутентификации и авторизации в информационных системах.

На основании вышеизложенного можно сделать следующие выводы.

Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.

Аутентификация - установление подлинности пользователя, представившего идентификатор или проверка того, что лицо или устройство, сообщившее идентификатор является действительно тем, за кого оно себя выдает.

Средства аутентификации и авторизации относятся к категории классических средств по управлению информационной безопасностью как корпоративных, так и глобальных коммуникационных сетей и включают в себя определение, создание, изменение, удаление и аудит пользовательских учетных записей. Аутентификация в них используется для проверки подлинности входящего в систему пользователя и для избежания отказа в обслуживании зарегистрированного пользователя.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. ГОСТ Р ИСО/МЭК 9594-8-98 Основы аутентификации [Электронный ресурс] // КонсультантПлюс: ВерсияПроф / ООО «ИнфоЛада», Тольятти, 2013.
2. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Выбор защитных мер. [Электронный ресурс] // КонсультантПлюс: ВерсияПроф / ООО «ИнфоЛада», Тольятти, 2013.
3. Афанасьев А.А. [и др.] Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам / А.А. Афанасьев [и др.]; под. редакцией А.А. Шелупанова, С.Л. Груздева, Ю.С. Нахаева. - М. : Горячая линия – Телеком, 2009. – 552 с.
4. Баловсяк, Н.В. Интернет: новые возможности / Н. В. Баловсяк, О.М. Бойцев. – СПб. : Питер, 2008. – 304 с.
5. Гаевский, А.Ю. Основы работы в Интернет : учеб. пособие / А.Ю. Гаевский. - СПб. : BHV, 2009. – 380 с.
6. Гладких, А.А. Базовые принципы информационной безопасности вычислительных сетей / А.А. Гладких, В.Е. Дементьев. – Ульяновск : УлГТУ, 2009. – 156 с.
7. Зима, В.П. Безопасность глобальных сетевых технологий : учеб. пособие / В.П. Зима, А.Г. Молдовян, Н.Г. Молдовян. – СПб. : BHV, 2008. – 320 с.
8. Комаров, А. Современные методы аутентификации: токен и это все о нем! / А. Комаров // T-Comm. – 2011. - №6. – С. 24-28.
9. Кондратьев, Г. В. Популярный самоучитель работы в Интернет: учеб. пособие / Г. В. Кондратьев. – М. : Вектор, 2010. – 261 с.
10. Левин, А.Ш. Интернет – это очень просто! / А.Ш. Левин. – М. : Статус, 2009. - 110 с.
11. Макарский, Д.В. Работа в Интернете / Д.В. Макарский. – СПб. : Питер, 2008. – 192 с.
12. Ричард Э. Смит Аутентификация: от паролей до открытых ключей / Э. Смит Ричар; пер. с англ. - М. : Вильямс, 2008. — 432 с.
13. Электронный ресурс // Режим доступа: http://bre.ru/security/19726.html, свободный.
14. Электронный ресурс // Режим доступа: http://security.demos.ru/auth_access/, свободный.
15. Электронный ресурс // Режим доступа: http://www.secuteck.ru/main.php, свободный.
16. Электронный ресурс // Режим доступа: http://www.ablv.com/ru/services/banking/e-channels/identification, свободный.